Avizul nr. 3/2018 referitor la proiectul de listă al autorității de supraveghere competente din Bulgaria privind operațiunile de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției datelor [articolul 35 alineatul (4) din RGPD] Adoptat la 25 septembrie 2018
Cuprins 1. Expunerea sumară a faptelor... 5 2. Evaluare... 5 2.1 Raționamentul general al CEPD cu privire la lista prezentată... 5 2.2 Aplicarea mecanismului pentru asigurarea coerenței în cazul proiectului de listă... 6 2.3 Analiza proiectului de listă... 6 Caracterul orientativ al listei... 6 Trimiterea la orientări... 6 Datele biometrice... 7 Datele genetice... 7 Datele biometrice și genetice... 7 Date de localizare... 7 Excepții de la informațiile care trebuie furnizate persoanei vizate în conformitate cu articolul 14 alineatul (5) din RGPD... 7 Trimiterea la un temei juridic specific... 8 Operatori asociați... Error! Bookmark not defined. Sisteme de informații distribuite teritorial sau transfrontaliere... 8 Migrarea de la un sistem la cel puțin altul... 8 Prelucrarea cu ajutorul unor tehnologii noi/inovatoare... 9 3. Concluzii/Recomandări... 9 4. Observații finale... 10 2
Comitetul European pentru Protecția Datelor, având în vedere articolul 63, articolul 64 alineatul (1) litera (a) și alineatele (3)-(8) și articolul 35 alineatele (1), (3), (4) și (6) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (denumit în continuare RGPD ), având în vedere Acordul privind SEE, în special anexa XI și Protocolul 37 la acesta, astfel cum a fost modificat prin Decizia nr. 154/2018 a Comitetului mixt al SEE din 6 iulie 2018, având în vedere articolele 10 și 22 din Regulamentul său de procedură din 25 mai 2018, întrucât: (1) Rolul principal al Comitetului este de a asigura aplicarea coerentă a Regulamentului (UE) 2016/679 (RGDP) în întregul Spațiu Economic European. În conformitate cu articolul 64 alineatul (1) din RGPD, Comitetul trebuie să emită un aviz de fiecare dată când o autoritate de supraveghere intenționează să adopte o listă de operațiuni de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției datelor în temeiul articolului 35 alineatul (4) din RGPD. Scopul prezentului aviz este, prin urmare, de a crea o abordare armonizată în ceea ce privește prelucrarea transfrontalieră sau prelucrarea care poate afecta libera circulație a datelor cu caracter personal sau a persoanelor fizice în întreaga Uniune Europeană. Deși nu impune o listă unică, RGPD promovează coerența. Comitetul urmărește să atingă acest obiectiv în avizele sale, în primul rând solicitând autorităților de supraveghere să includă anumite tipuri de prelucrare pe listele lor, în al doilea rând, solicitându-le să elimine unele criterii pe care Comitetul nu le consideră că generează neapărat riscuri ridicate pentru persoanele vizate și, în cele din urmă, solicitând acestor autorități să utilizeze unele criterii într-un mod armonizat. (2) În ceea ce privește articolul 35 alineatele (4) și (6) din RGPD, autoritățile de supraveghere competente întocmesc liste cu tipurile de operațiuni de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției datelor (denumită în continuare EIPD ). Totuși, aceste autorități aplică mecanismul pentru asigurarea coerenței în cazul în care listele respective implică operațiuni de prelucrare care au legătură cu furnizarea de bunuri sau prestarea de servicii către persoanele vizate ori cu monitorizarea comportamentului acestor persoane în mai multe state membre sau care pot afecta în mod substanțial libera circulație a datelor cu caracter personal în cadrul Uniunii. (3) Deși proiectele de listă ale autorităților de supraveghere competente fac obiectul mecanismului pentru asigurarea coerenței, acest lucru nu înseamnă că listele ar trebui să fie identice. Autoritățile de supraveghere competente dispun de o marjă de apreciere în ceea ce privește contextul național sau regional și ar trebui să țină seama de legislația lor locală. 3
Scopul evaluării/avizului CEPD nu este acela de a ajunge la o listă unică la nivelul UE, ci mai degrabă de a evita inconsecvențele semnificative care ar putea afecta protecția echivalentă a persoanelor vizate. (4) Efectuarea unei EIPD este obligatorie numai pentru operator în temeiul articolului 35 alineatul (1) din RGPD, în cazul în care prelucrarea este susceptibil[ă] să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice. Articolul 35 alineatul (3) din RGPD ilustrează ceea ce poate duce la un risc ridicat. Aceasta nu este o listă exhaustivă. În Orientările privind evaluarea impactului asupra protecției datelor 1, astfel cum au fost aprobate de CEPD 2, Grupul de Lucru Articolul 29 a clarificat criteriile care pot contribui la identificarea cazurilor în care operațiunile de prelucrare fac obiectul cerinței de efectuare a unei EIPD. În Orientările WP248 ale Grupului de Lucru Articolul 29 se precizează că, în majoritatea cazurilor, un operator de date poate considera că o prelucrare care îndeplinește două criterii ar necesita efectuarea unei EIPD; cu toate acestea, în unele cazuri, un operator de date poate considera că o prelucrare care îndeplinește doar unul dintre aceste criterii necesită o EIPD. (5) Listele întocmite de autoritățile de supraveghere competente sprijină același obiectiv de identificare a operațiunilor de prelucrare susceptibile să genereze un risc ridicat și a operațiunilor de prelucrare care necesită, prin urmare, o EIPD. Ca atare, criteriile definite în Orientările Grupului de Lucru Articolul 29 ar trebui aplicate atunci când se evaluează dacă proiectele de liste ale autorităților de supraveghere competente nu afectează aplicarea coerentă a RGPD. (6) Douăzeci și două de autorități de supraveghere competente au transmis CEPD proiectele lor de liste. O evaluare globală a acestor proiecte de liste sprijină obiectivul unei aplicări coerente a RGPD, deși complexitatea subiectului crește. (7) Avizul CEPD se adoptă în temeiul articolului 64 alineatul (3) din RGPD coroborat cu articolul 10 alineatul (2) din Regulamentul de Procedură al CEPD în termen de opt săptămâni de la prima zi lucrătoare după ce președintele și autoritatea de supraveghere competentă au decis că dosarul este complet. În urma deciziei președintelui, această perioadă poate fi prelungită cu încă șase săptămâni, ținând seama de complexitatea subiectului, ADOPTĂ PREZENTUL AVIZ: 1 Grupul de Lucru Articolul 29, Orientări privind evaluarea impactului asupra protecției datelor și stabilirea dacă prelucrarea este susceptibilă să genereze un risc ridicat în sensul Regulamentului 2016/679, (WP 248 rev. 01). 2 CEPD, Aprobarea 1/2018. 4
1. Expunerea sumară a faptelor Comisia pentru protecția datelor cu caracter personal ( autoritatea de supraveghere bulgară ) a prezentat proiectul său de listă Comitetului european pentru protecția datelor. Decizia privind caracterul complet al dosarului a fost luată la 5 iulie 2018. Perioada în care trebuie să fie adoptat avizul a fost prelungită până la 25 septembrie, ținând seama de complexitatea subiectului, având în vedere că, în același timp, douăzeci și două de autorități de supraveghere competente au prezentat proiectele de liste; prin urmare, a apărut necesitatea unei evaluări globale. 2. Evaluare 2.1 Raț ionamentul general al CEPD cu privire la lista prezentată Orice listă prezentată CEPD a fost interpretată ca o precizare suplimentară a articolului 35 alineatul (1), care va prevala în orice caz. Prin urmare, nicio listă nu poate fi exhaustivă. Întrucât lista prezentată de autoritatea de supraveghere bulgară nu precizează în mod explicit acest lucru, Comitetul solicită ca această explicație să fie adăugată în documentul care conține lista. În conformitate cu articolul 35 alineatul (10) din RGPD, Comitetul consideră că, în cazul în care o EIPD a fost efectuată deja ca parte a unei evaluări generale a impactului în contextul adoptării temeiului juridic, obligația de a efectua o EIPD în conformitate cu articolul 35 alineatele (1)-(7) din RGPD nu se aplică decât dacă statul membru consideră că este necesar. În plus, în cazul în care Comitetul solicită efectuarea unei EIPD pentru o anumită categorie de prelucrare și o măsură echivalentă este deja impusă de legislația națională, autoritatea de supraveghere bulgară va adăuga o trimitere la această măsură. Prezentul aviz nu reflectă elementele prezentate de autoritatea de supraveghere bulgară care au fost considerate ca fiind în afara domeniului de aplicare al articolului 35 alineatul (6) din RGPD. Acesta vizează elemente care nu se referă nici la furnizarea de bunuri sau prestarea de servicii către persoane vizate în mai multe state membre, nici la monitorizarea comportamentului persoanelor vizate în mai multe state membre. În plus, este puțin probabil ca acestea [să afecteze] în mod substanțial libera circulație a datelor cu caracter personal în cadrul Uniunii. Acest lucru este valabil în special pentru elementele referitoare la legislația națională și, în special, în cazul în care legislația națională prevede obligația de a efectua o EIPD. În plus, operațiunile de prelucrare care au legătură cu asigurarea respectării legii au fost considerate în afara domeniului de aplicare, deoarece nu intră sub incidența RGPD. Comitetul a constatat că mai multe autorități de supraveghere au inclus în listele lor unele tipuri de prelucrare care înseamnă în mod necesar prelucrare locală. Având în vedere că numai prelucrarea transfrontalieră și prelucrarea care poate afecta libera circulație a datelor cu caracter personal și a persoanelor vizate intră sub incidența articolului 35 alineatul (6), Comitetul nu va prezenta observații cu privire la aceste operațiuni de prelucrare locală. 5
Avizul vizează definirea unui nucleu coerent de operațiuni de prelucrare care sunt recurente pe listele furnizate de autoritățile de supraveghere. Aceasta înseamnă că, pentru un număr limitat de tipuri de operațiuni de prelucrare, care vor fi definite într-un mod armonizat, toate autoritățile de supraveghere vor solicita efectuarea unei EIPD, iar Comitetul va recomanda autorităților de supraveghere să își modifice listele în consecință, pentru a asigura coerența. În cazul în care prezentul aviz nu se referă la mențiunile din lista prezentată în vederea EIPD, atunci Comitetul nu îi solicită autorității de supraveghere bulgare să ia măsuri suplimentare. În cele din urmă, Comitetul reamintește faptul că transparența este esențială pentru operatorii de date și pentru persoanele împuternicite de aceștia. Pentru a clarifica mențiunile din listă, Comitetul consideră că efectuarea unei trimiteri explicite în liste, pentru fiecare tip de prelucrare, a criteriilor stabilite în orientări ar putea îmbunătăți această transparență. Prin urmare, Comitetul consideră că ar putea fi adăugată o explicație cu privire la criteriile pe care autoritatea de supraveghere bulgară le-a avut în vedere pentru crearea propriei liste. 2.2 Aplicarea mecanismului pentru asigurarea coerenț ei în cazul proiectului de listă Proiectul de listă prezentat de către autoritatea de supraveghere bulgară se referă la furnizarea de bunuri sau prestarea de servicii către persoane vizate, la monitorizarea comportamentului acestora în mai multe state membre și/sau poate afecta în mod substanțial libera circulație a datelor cu caracter personal în cadrul Uniunii, în principal din cauza faptului că operațiunile de prelucrare din proiectul de listă prezentat nu se limitează la persoanele vizate din această țară. 6 2.3 Analiza proiectului de listă Ținând seama de faptul că: a. articolul 35 alineatul (1) din RGPD prevede o EIPD atunci când este probabil ca activitatea de prelucrare să aibă ca rezultat un risc ridicat pentru drepturile și libertățile persoanelor fizice și că b. articolul 35 alineatul (3) din RGPD prevede o listă neexhaustivă a tipurilor de prelucrare care necesită efectuarea unei EIPD, Comitetul consideră următoarele: CARACTERUL ORIENTATIV AL LISTEI Întrucât lista prezentată de către autoritatea de supraveghere bulgară nu precizează în mod explicit faptul că lista sa nu este exhaustivă, Comitetul solicită ca această explicație să fie adăugată în documentul care conține lista. TRIMITEREA LA ORIENTĂRI Comitetul consideră că analiza efectuată în cadrul Orientărilor WP248 ale Grupului de Lucru Articolul 29 reprezintă un element esențial pentru asigurarea coerenței la nivelul Uniunii.
Prin urmare, acesta solicită diferitelor autorități de supraveghere să adauge o declarație la documentul care conține lista lor în care să se clarifice faptul că lista lor se bazează pe aceste orientări și completează și specifică orientările. Întrucât documentul autorității de supraveghere bulgare nu conține o astfel de declarație, Comitetul recomandă autorității de supraveghere bulgare să își modifice documentul în consecință. DATELE BIOMETRICE Lista prezentată de către autoritatea de supraveghere bulgară în vederea unui aviz al Comitetului prevede că prelucrarea datelor biometrice în scopul identificării unice a unei persoane fizice, coroborată cu cel puțin un alt criteriu, necesită o EIPD. În această privință, Comitetul recunoaște că lista îndeplinește obiectivul în materie de coerență. DATELE GENETICE Lista prezentată de către autoritatea de supraveghere bulgară în vederea unui aviz al Comitetului prevede că prelucrarea datelor genetice, coroborată cu cel puțin un alt criteriu, necesită o EIPD. Comitetul consideră că prelucrarea datelor genetice în sine nu este în mod necesar susceptibilă de a reprezenta un risc ridicat. Cu toate acestea, prelucrarea datelor genetice, în coroborare cu cel puțin un alt criteriu, necesită efectuarea unei EIPD. Comitetul ia notă de includerea acestui criteriu în lista autorității de supraveghere bulgare. DATELE BIOMETRICE ȘI GENETICE Lista prezentată de către autoritatea de supraveghere bulgară în vederea unui aviz cuprinde o trimitere la datele biometrice și genetice (cumulativ) ca înregistrare separată. Comitetul a fost informat de către autoritatea de supraveghere bulgară că, în versiunea originală, datele biometrice și genetice sunt de fapt luate în considerare separat. Prin urmare, Comitetul face referire la secțiunile din avizul privind datele biometrice și, respectiv, datele genetice. DATE DE LOCALIZARE Comitetul este de părere că unul dintre principiile de bază ale RGPD este coerența. Comitetul observă faptul că majoritatea listelor prezentate cuprind în mod explicit o trimitere la prelucrarea datelor de localizare. Întrucât lista prezentată de către autoritatea de supraveghere bulgară în vederea unui aviz nu conține o astfel de trimitere, Comitetul încurajează autoritatea de supraveghere bulgară să includă prelucrarea datelor de localizare pe lista sa, coroborată cu un alt criteriu. EXCEPȚII DE LA INFORMAȚIILE CARE TREBUIE FURNIZATE PERSOANEI VIZATE ÎN CONFORMITATE CU ARTICOLUL 14 ALINEATUL (5) DIN RGPD Comitetul consideră că tipurile de activități de prelucrare care ar putea priva persoanele vizate de drepturile care le revin nu prezintă un risc ridicat în sine. Prin urmare, o activitate de prelucrare efectuată de către operator în temeiul articolului 14 din RGPD și în cazul în care informațiile care urmează să fie furnizate persoanelor vizate fac obiectul unei derogări în temeiul articolului 14 alineatul (5) literele (b) (d), ar putea necesita efectuarea unei EIPD 7
numai coroborată cel puțin cu un alt criteriu. Lista prezentată de către autoritatea de supraveghere bulgară în vederea unui aviz al Comitetului necesită, în prezent, efectuarea unei EIPD pentru prelucrarea datelor în cazul în care articolul 14 alineatul (5) literele (b), (c) și (d) se aplică în mod autonom. Comitetul solicită autorității de supraveghere bulgare să își modifice lista în mod corespunzător, prin adaptarea mențiunii de pe listă, adăugând că este nevoie de o EIPD numai în legătură cu cel puțin un alt criteriu. TRIMITEREA LA UN TEMEI JURIDIC SPECIFIC Potrivit Comitetului, utilizarea unui temei juridic specific nu ar trebui să fie un criteriu care să ducă la o obligație de a efectua o EIPD, numai pe baza sa ori împreună cu un alt criteriu. Având în vedere faptul că lista prezentată de către autoritatea de supraveghere bulgară în vederea unui aviz al Comitetului ia în considerare un astfel de tip de prelucrare care necesită o evaluare a impactului asupra protecției datelor, Comitetul solicită autorității de supraveghere bulgare să își modifice lista în mod corespunzător, prin eliminarea trimiterii din lista sa la orice temei juridic specific. OPERATORI ASOCIAȚI Potrivit Comitetului, operatorii asociați nu ar trebui să fie un criteriu care să ducă la o obligație de a efectua o EIPD, numai pe baza sa ori împreună cu un alt criteriu. Prin urmare, prelucrarea datelor cu caracter personal efectuată de operatori asociați nu ar trebui să necesite, în sine, efectuarea unei EIPD. Lista prezentată de către autoritatea de supraveghere bulgară în vederea unui aviz al Comitetului necesită în prezent efectuarea unei EIPD în cazul în care se realizează o prelucrare de către operatori asociați. Comitetul solicită autorității de supraveghere bulgare să își modifice lista în mod corespunzător, prin eliminarea de pe lista sa a elementului care vizează prelucrarea efectuată de operatori asociați. SISTEME DE INFORMAȚII DISTRIBUITE TERITORIAL SAU TRANSFRONTALIERE Potrivit Comitetului, operațiunile de prelucrare, realizate cu ajutorul sistemelor de informații distribuite teritorial sau transfrontaliere, nu ar trebui să fie un criteriu care să ducă la o obligație de a efectua o EIPD numai pe baza sa ori împreună cu un alt criteriu. Dat fiind faptul că lista prezentată de autoritatea de supraveghere bulgară în vederea unui aviz al Comitetului ia în considerare un astfel de tip de prelucrare care necesită o evaluare a impactului asupra protecției datelor, Comitetul solicită autorității de supraveghere bulgare să își modifice lista în mod corespunzător, prin eliminarea din lista sa a trimiterii la operațiuni de prelucrare realizate cu ajutorul sistemelor de informații distribuite teritorial sau transfrontaliere. MIGRAREA DE LA UN SISTEM LA CEL PUȚIN ALTUL Comitetul consideră că migrarea de la un sistem la altul în sine nu este în mod necesar susceptibilă de a reprezenta un risc ridicat. Cu toate acestea, migrarea de la un sistem la altul coroborată cu cel puțin un alt criteriu necesită efectuarea unei EIPD. Lista prezentată de către autoritatea de supraveghere bulgară în vederea unui aviz al Comitetului necesită în prezent efectuarea unei EIPD în cazul în care se realizează o migrare de la un sistem la altul în sine. Comitetul solicită autorității de supraveghere bulgare să își modifice lista în mod 8
corespunzător, prin adăugarea faptului că elementul care se referă la migrarea de la un sistem la altul necesită efectuarea unei EIPD numai coroborată cu cel puțin un alt criteriu. PRELUCRAREA CU AJUTORUL UNOR TEHNOLOGII NOI/INOVATOARE Lista prezentată de către autoritatea de supraveghere bulgară în vederea unui aviz al Comitetului prevede că prelucrarea datelor cu caracter personal cu ajutorul unei tehnologii inovatoare coroborate cu cel puțin un alt criteriu necesită o EIPD. Comitetul ia notă de includerea pe listă a acestui criteriu. 3. Concluzii/Recomandări Proiectul de listă al autorității de supraveghere bulgare poate conduce la o aplicare incoerentă a cerinței privind o EIPD și trebuie efectuate următoarele modificări: 9 în ceea ce privește caracterul orientativ al listei: Comitetul solicită să se adauge o explicație în documentul care conține lista, menționând caracterul neexhaustiv al acesteia; în ceea ce privește trimiterea la orientări: Comitetul solicită autorității de supraveghere bulgare să își modifice documentul în consecință; în ceea ce privește datele de localizare: Comitetul încurajează autoritatea de supraveghere bulgară să includă în lista sa prelucrarea datelor de localizare, împreună cu un alt criteriu; în ceea ce privește excepțiile de la informațiile care trebuie furnizate persoanelor vizate în conformitate cu articolul 14 alineatul (5) din RGPD: Comitetul solicită autorității de supraveghere bulgare să își modifice lista, prin adăugarea mențiunii că este nevoie de o EIPD numai coroborată cu cel puțin un alt criteriu; în ceea ce privește legătura temeiului juridic cu un nivel ridicat de risc: Comitetul solicită autorității de supraveghere bulgare să își modifice lista, prin eliminarea de pe lista sa a trimiterii la orice temei juridic; în ceea ce privește operatorii asociați: Comitetul solicită autorității de supraveghere bulgare să își modifice lista, prin eliminarea de pe lista sa a trimiterii la operatorii asociați; în ceea ce privește operațiunile de prelucrare care sunt efectuate prin intermediul unor sisteme de informații distribuite teritorial sau transfrontaliere: Comitetul solicită autorității de supraveghere bulgare să își modifice lista, prin eliminarea de pe lista sa a trimiterii la operațiunile de prelucrare care sunt realizate prin intermediul unor sisteme de informații distribuite teritorial sau transfrontaliere; în ceea ce privește migrarea de la un sistem la cel puțin altul: Comitetul solicită autorității de supraveghere bulgare să își modifice lista, prin adăugarea mențiunii că
elementul care se referă la migrarea de la un sistem la altul necesită efectuarea unei EIPD numai coroborată cu cel puțin un alt criteriu. 4. Observaț ii finale Prezentul aviz se adresează Comisiei pentru protecția datelor cu caracter personal ( autoritatea de supraveghere bulgară ) și va fi făcut public în temeiul articolului 64 alineatul (5) litera (b) din RGPD. În conformitate cu articolul 64 alineatele (7) și (8) din RGPD, autoritatea de supraveghere transmite președintelui, prin mijloace electronice, în termen de două săptămâni de la primirea avizului, dacă își va modifica sau menține proiectul de listă. În același termen, aceasta transmite proiectul de listă modificat sau, în cazul în care nu intenționează să urmeze avizul Comitetului, prezintă motivele relevante pentru care nu intenționează să urmeze avizul, integral sau parțial. Pentru Comitetul European pentru Protecția Datelor, Președintele (Andrea Jelinek) 10